Nichts Passendes dabei? Stellen Sie ein, welche Inhalte Sie auf aleri.de sehen möchten:
(wir) /authentifizieren/
(user)
Jeder nur einen Login: Unser Klient wünscht sich eine moderne Authentifizierung für Mitarbeiter und Kunden, extern wie intern, und das anwendungsübergreifend. Wir sorgen für eine userfreundliche und sichere Lösung, indem wir die Anwendungen und Dienste entsprechend vernetzen und ein einfach zu bedienendes Single Sign On implementieren. Sehr zur Freude der Nutzerinnen und Nutzer.
Eigentlich sollen Apps das digitale Leben leichter machen – wären da nicht die zahllosen Passwörter und Logins, die ein schnelles Switchen zwischen den Services verhindern. Die Lösung: Single Sign On. Einmal eingeloggt, für immer berechtigt – oder zumindest für den Arbeitstag. Unser Klient wünscht sich genau das für seine eigenen internen und externen Mitarbeiterinnen und Mitarbeiter sowie seine Kundinnen und Kunden, die sich ebenfalls frei zwischen den einzelnen Services bewegen wollen. Als zentrale Plattformen ist ein Mix aus OpenID und OAuth 2.0 geplant, ergänzt durch Dienste wie Active Directory für Microsoft-Apps. Um das zu erreichen, strebt das Unternehmen die zentrale Datenhaltung von Authentifizierung und Autorisierung an. Zudem soll optional das passwortlose Authentifizieren per FIDO-2 ermöglicht werden. Dieser Standard auf Basis asymmetrischer Verschlüsselung gilt wie auch die 2-Faktor Authentifizierung als sehr sicher.
Idealerweise soll jeder Nutzer sich in jedem für ihn zugänglichen System initial identifizieren und von da aus auf weitere Services zugreifen können. Auf diese Weise wird auch die UX spürbar verbessert.
Unser Team orientiert sich wie üblich an den Anforderungen und Bedürfnissen des Kunden.
Authentifizierung und Autorisierung finden nah am User statt und sind definitiv eine Sache fürs Frontend. Also kümmern sich die Aleri-Spezialistinnen und Spezialisten für Technology Frontend darum und sorgen für die Implementierung passgenauer User Interfaces und deren visuelle Gestaltung.
Für die Arbeiten im Hintergrund haben wir die Experten und Expertinnen für Technology Architecture. Sie sorgen für die Definition der Netzwerke, die Kommunikationsmatrix, das Berechtigungskonzept und die Vorgabe der Auth-Frameworks und -Dienste – kurz: dafür, dass auch wirklich alles sicher und sauber läuft.
Da das System für Interne und Externe zugänglich sein muss, legen es unsere Cloud Technology Spezialisten nicht serverbasiert, sondern in der Cloud an. Damit einher geht die Implementierung der Service-Zonen, die Festlegung und Vergabe der Berechtigungen und die Einbindung der einzelnen Authentifizierungsdienste.
Das Team „Technology API&Services“ schließlich passt bestehende Dienste an oder ersetzt sie durch SSO-fähige Varianten.
Besonders erfolgreich wird ein Projekt, wenn wir mit dem Kunden transparent und Hand in Hand arbeiten. So auch dieses: IT, Vorstand und alle Fachbereiche ziehen an einem Strang – und das nach anfänglichen Vorbehalten gegen die Umfänge und die Kosten. Wir konnten nachvollziehbar erklären, dass sich diese Anstrengung und Investition schnell bezahlt machen.
Die Spezialistinnen und Spezialisten von Aleri erfassen die Dienste, arbeiten sich in die Netzwerkstrukturen ein, um unterschiedliche Autorisierungsstrukturen zu definieren, und erstellen ein Berechtigungskonzept für interne wie externe User. Dieses angepasste Berechtigungskonzept hinterlegt das Team als Code, bevor es sich um das Herzstück des Projekts kümmert: Das Anbinden sämtlicher Services an die zentrale Autorisierung. Dafür müssen sämtliche Rechteanfragen in jedem einzelnen Service angepasst werden. Bei dieser Gelegenheit kümmern wir uns auch um die Logins, passen sie an das neue System an und gestalten sie intuitiv. Parallel konzipieren und installieren wir die gesamte Authentifizierungs- und Autorisierungs-Infrastruktur neu, ebenso wie die Netzwerk-Struktur.
Da die Mitarbeiterinnen und Mitarbeiter unseres Auftraggebers sich in Zukunft per Zwei-Faktor-Authentifizierung identifizieren sollen, richten wir die entsprechenden Apps ein und besorgen und konfigurieren gegebenenfalls notwendige Hardware-Tokens.
Der Erfolg kann sich sehen lassen: Für einen Großteil der Dienst ist der Single Sign On bereits etabliert. Um Risiken noch weiter zu minimieren, werden interne Services getrennt von externen autorisiert. Aus diesem Grund gibt es zwei autonome Instanzen für die Rechteverwaltung und den Login. Ebenso zahlt die Zwei-Faktor-Authentifizierung stark auf die Sicherheit ein.
Offen ist derzeit noch das passwortlose Authentifizieren per FIDO-2. Das Zusammenspiel von internen und externen Datensätzen ist in der derzeitigen Struktur zu risikobehaftet. Wir prüfen gemeinsam mit dem Kunden, ob sich die Weiterverfolgung dieses von Anfang an optionalen Ziels lohnt.
Die gesamte Beleschaft unseres Kunden meldet sich zu Beginn des Tages per Zwei-Faktor-Authentifizierung an. Auch die Endkunden und -kundinnen profitieren vom Single Sign On . Damit sind die Übergänge zwischen Services nun nicht mehr spürbar und alles wirkt wie aus dem sprichwörtlichen einen Guss.
Insgesamt ist der Login um ein Vielfaches benutzerfreundlicher geworden. Nicht verwunderlich, dass sich dies positiv auf die Mitarbeiter- und Kundenzufriedenheit ausgewirkt hat.
Wenig überraschend, kommt bei diesem Thema hauptsächlich Software zum Thema Authentifizierung zum Einsatz, OAuth2 (Open Authorization) zum Beispiel ist ein offenes Standardprotokoll, das eine sichere API-Autorisierung ermöglicht. Als Cloud-Computing-Plattform nutzen wir Microsoft Azure. Zum Einsatz kommt zudem eine Single-Page Application (SPA), auch One-Page Application genannt. Ebenfalls auf Single-Page-Webanwendungen zahlt die JavaScript-Software React ein, die wir zur Erstellung des Webframeworks nutzen. Opentelemetry nutzen wir zum Erfassen und Exportieren von Daten aus cloudnativen Anwendungen, damit unser Kunde die Daten später überwachen und analysieren kann.
Wir verwenden die Programmiersprache Go, da sie hochperformant ist und sich speziell für die Entwicklung von REST-APIs eignet. Für die Datenabfrage setzen wir auf GraphQL. Die Geschäftsprozesse definieren wir in Camunda BPM, die Entwicklung des Frontends läuft gemäß JamStack mit vielen, voneinander unabhängigen APIs. Der Vorteil: Wir belasten uns so nicht mit großen, zentralen Servern.
Selbstverständlich testen wir unsere Arbeit erst, bevor wir sie an den Kunden übergeben. Dafür nutzen wir Cypress, ein Framework fürs Testing von Webanwendungen. Es eignet sich speziell für Login- und damit Authentifizierungsthemen. Das ganze natürlich nicht nur auf einem zentralen Rechner, sondern per Saucelabs/Browserstack in unterschiedlichen Browsern sowie auf verschiedenen Endgeräten – Stichwort Cross-Device-Testing.
Sie möchten mehr über den Case, die Technologien dahinter oder über ähnliche Projekte erfahren?
Gerne beraten wir Sie zu Ihren individuellen Heraus- und Anforderungen!